Let's Encrypt, bungwe loyang'anira satifiketi yopanda phindu lomwe limayang'aniridwa ndi anthu ammudzi ndipo limapereka ziphaso kwaulere kwa aliyense, laganiza zosiya kuthandizira protocol ya OCSP (Online Certificate Status Protocol) yomwe imagwiritsidwa ntchito kuwunika kuchotsedwa kwa ziphaso. M'malo mwa protocol ya OCSP, akufunsidwa kuti agwiritse ntchito mindandanda yochotsa satifiketi (CRL - List Revocation List), lofalitsidwa ndi Let's Encrypt service kuyambira 2022. Pa Meyi 7, 2025, Let's Encrypt idzaletsa kuwonjezera kwa ma adilesi a OCSP ku ziphaso zomwe zaperekedwa ndipo tiyimitsa kukonza zopempha zokhudzana ndi kugwiritsa ntchito "OCSP Must Staple". Pa Ogasiti 6, 2025, othandizira pempho la OCSP adzayimitsidwa pa maseva.
Nkhawa zachinsinsi zatchulidwa kuti ndi chifukwa choletsa chithandizo cha OCSP. Kugwiritsa ntchito OCSP kumafuna kuti, nthawi iliyonse yolumikizira yotetezeka ikakhazikitsidwa kuti itsimikizire kutsimikizika kwa satifiketi, makina a kasitomala amatumiza pempho ku seva ya OCSP ya CA yomwe idapanga satifiketiyo. Poyankha, seva imapereka chidziwitso chokhudza ngati satifiketi yomwe yatchulidwayo ingakhale yodalirika. Vuto ndilakuti CA imalandira chidziwitso chokhudza nthawi ndi mawebusayiti omwe wogwiritsa ntchito amachezera, kutengera ndi IP adilesi, zomwe zingaganizidwe ngati kutayikira kwa deta yachinsinsi. Kuphatikiza apo, kugwiritsa ntchito OCSP kumayambitsa kuchedwa kwa ntchito yopempha, kumafuna kuti wogwiritsa ntchito akhale ndi mwayi wotsimikizika wopezera netiweki, ndipo kumapangitsa kuti ma seva a OCSP azidalira kwambiri ntchito yawo yosalekeza.
Pofuna kuthana ndi mavuto achinsinsi poyang'ana kuchotsedwa kwa satifiketi, ukadaulo wa OCSP Stapling unapangidwa. Lingaliro ndilakuti mayankho a OCSP otsimikiziridwa ndi bungwe loona za satifiketi amatha kutumizidwa ndi ma seva omwe amapereka mawebusayiti panthawi yokambirana za kulumikizana kwa TLS ndi kasitomala (kutumiza kwa chidziwitso cha OCSP kumasamutsidwa ku maseva mawebusayiti, zomwe zimachotsa kufunikira kwa makina a kasitomala kulumikizana mwachindunji ndi seva ya OCSP ya bungwe lopereka satifiketi, pomwe kulondola kwa mayankho kumatsimikiziridwa ndi siginecha ya digito ya bungwe lopereka satifiketi).
Kuphatikiza pa OCSP Stapling, pali chowonjezera cha "OCSP Must Staple" chowonjezedwa ku satifiketi, chomwe chimalangiza asakatuli kuti agwiritse ntchito njira ya OCSP Stapling m'malo molumikizana mwachindunji ndi ma seva a OCSP ndipo amafuna kuti satifiketiyo iwoneke ngati yosadalirika ngati seva yomwe ikutumizira tsambalo siinatero. bweretsani yankho lovomerezeka la OCSP. Tsoka ilo, kukulitsa kwa "Must Staple" sikumagwiritsidwa ntchito kwambiri pakusakatula, ndipo ukadaulo wa OCSP Stapling umalumikizidwa ndi kufunikira kothandizira momveka bwino kumbali ya seva ya HTTP (yothandizidwa mu nginx kuyambira 2013).
Mukamagwiritsa ntchito CRL, kuwunika kuchotsedwa kwa satifiketi kumachitika pamakina am'deralo pogwiritsa ntchito mindandanda yopangidwa ndi oyang'anira certification. Kuipa kwa njirayi ndi kukula kwakukulu kwa deta yomwe yatsitsidwa ndi maonekedwe a kusiyana kwa nthawi mu kufunikira kwa chidziwitso (mwachitsanzo, mu Firefox, deta imasinthidwa kamodzi pa maola 6 aliwonse). Vuto la kukula limathetsedwa mu asakatuli kudzera pa CRL proxying pa seva opanga osatsegula - asakatuli amaphatikiza CRL yoyambira, yomwe nthawi ndi nthawi imalumikizidwa ndi mndandanda wapano (zosintha zokha zomwe zimasinthidwa zimasamutsidwa ku dongosolo la kasitomala). Kuti muchepetse kukula kwa nkhokwe ya CRL, mawonekedwe a fyuluta a probabilistic Bloom amagwiritsidwa ntchito, omwe amalola kusunga nkhokwe yathunthu ya CRL kumbali ya kasitomala mu chiwonetsero chophatikizika kwambiri. Mu Firefox, njira yofananira imayendetsedwa pogwiritsa ntchito zida za CRLite, komanso mu Chrome, CRLSets.
Source: opennet.ru
